v6.25 (build: Feb 9 2017)
Синхронизация с Active Directory
Синхронизация предназначена для автоматического поддержания всех данных сотрудников и компании, сохраняемых в настройках комплекса, в актуальном состоянии. Все сделано таким образом, чтобы администраторы не выполняли двойную работу при изменении данных в Active Directory - не будет необходимости изменять эти данные в настройках комплекса. Примеры: уволился или добавился сотрудник, изменилась структура компании, добавились подчиненные у начальников и т.д.
Настроив автоматическую синхронизацию один раз, администратору не нужно будет посещать вкладки настроек "Пользователи базы", "Структура компании", "Досье сотрудников" - синхронизатор все будет выполнять сам автоматически (получая данные из Active Directory и записывая их в базу настроек комплекса).

Важно:
- Синхронизация возможна только при использовании Microsoft SQL Server (MySQL не поддерживается!).
- Настройки синхронизации, также как и саму синхронизацию, администратор может проводить со своей машины, которая входит в один из доменов компании.
- Если в компании несколько администраторов, то каждый может работать со своей машины.
- Вход в программу глобальных настроек должен быть осуществлен с текущей учетной записью Windows.
- Администратор должен иметь права на чтение из Active Directory и быть администратором SQL-базы.


Вкладка "Домены"

Здесь указывается список доменов компании, с которыми необходимо производить синхронизацию.
Между доменами должно быть установлено доверие (Trust).
Контроллер домена не является обязательным для указания.
Сервер комплекса может быть один для всех доменов или разный (в случае использования нескольких серверов).


Вкладка "Объекты"

Здесь указываются группы, OU или одиночные компьютеры/пользователи для двух типов синхронизации:

1) Синхронизация клиентских установок - указываются группы/машины, на которые должен быть установлен клиент комплекса. Таким образом, в ходе синхронизации происходит установка клиентов на те машины, где клиент еще не установлен. Автоматическое удаление клиентов также возможно, однако управляется настройкой на вкладке настроек "Общие настройки" для компьютера. Там же находится и опция автоматического обновления клиентов.

2) Синхронизация прав начальников - указываются группы/пользователи в одной из ролей (см. ниже).
Роли начальников:
"Супервизор" - данному начальнику доступны отчеты по всем сотрудникам компании (все домены).
"Суперпользователь" - доступны отчеты только по сотрудникам своего домена.
"Пользователь" - настраиваемые вручную права. После синхронизации на вкладке настроек "Пользователи базы" необходимо самостоятельно выбрать отделы или сотрудников, за которыми будет наблюдать данный начальник.
"Начальник" - доступны отчеты по себе самому и своим подчиненным. Что это означает? Если для каких-то сотрудников в AD установлен "Manager" (начальник), то у этого начальника появится поле directReports, которое и будет использоваться для создания прав доступа. Т.е. данный начальник сможет наблюдать только за самим собой, своими подчиненными и подчиненными своих подчиненных (и т.д. рекурсивно по иерархии подчинения вниз).

Приоритеты ролей: если один начальник входит сразу в несколько ролей, то для решения данного конфликта приоритеты расставлены в вышеописанном порядке.
В ходе синхронизации происходит заполнение данных на вкладке "Пользователи базы".


Вкладка "Профили"

Аналогично предыдущей вкладке "Объекты", но только указываются группы, OU или одиночные компьютеры/пользователи для сопоставления их с профилями клиентских настроек. См. раздел "Группы" в настройках комплекса.
Данная вкладка служит для того, чтобы не заполнять вручную раздел "Группы" в настройках комплекса, а синхронизировать с Active Directory.
Важно! Если пользователь входит в две и более групп, которые выбраны здесь и для которых установлены разные профили настроек, то конечная выборка профиля настроек для этого пользователя будет непредсказуемой!


Вкладка "Отделы"

В больших компаниях может быть необходимо выполнять синхронизацию только лишь с выбранными отделами/подразделениями в AD, а не со всей иерархией. В таком случае необходимо выбрать нужные контейнеры AD на этой вкладке (выбранный отдел автоматически включит все отделы нижнего уровня!). Если же данный список пуст, то синхронизация будет производиться полностью по всей иерархии домена(ов).


Вкладка "Клиентские машины"

Здесь можно посмотреть список машин, на которые уже установлен клиент и тех машин, на которые должен быть установлен клиент, но еще не установлен.
Существует возможность вручную выбрать и установить клиентов на машины.
Удаленная установка осуществляется этим способом.


Вкладка "Настройки"

Здесь настраиваются параметры синхронизации:
"Игнорировать отключенные учетные записи" - если учетная запись компьютера или пользователя AD отключена, то обрабатываться синхронизатором не будет.
"Пинговать машины перед установкой клиента" - рекомендуется для ускорения процесса установки (для выключенных машин).
"Название компании" - используется при синхронизации иерархии как верхний ее уровень.
"Опции синхронизации досье" - указывайте названия полей AD для синхронизации досье.
"Настройки очистки лога" - очистка лога также происходит в ходе синхронизации.


Вкладка "Синхронизация"

Можно выполнить синхронизацию вручную (будет создан новый консольный процесс) или же добавить задание в планировщик заданий Windows для автоматической синхронизации по расписанию.
Важно: задание в планировщике должно выполняться от имени текущего пользователя Windows!


Вкладка "Лог"

Здесь можно смотреть результаты работы как ручной, так и автоматической синхронизации, а также отслеживать изменения настроек.


Что такое "Синхронизировать отложенный режим"?

Включение данной опции синхронизации будет означать следующее: если после полной синхронизации в базе имеются данные мониторинга для пользователей, которых нет в списках наблюдаемых для других пользователей (обычно начальников), то для таких пользователей устанавливается режим отложенного мониторинга (чтобы не нагружать базу их данными мониторинга в дальнейшем).
См. также справку "Отложенный мониторинг".


Какие параметры не синхронизируются и меняются вручную

После успешной синхронизации можно менять вручную следующие параметры, которые не подлежат синхронизации:
- На вкладке "Пользователи базы" все пользователи с логинами SQL (не логины Windows).
- На вкладке "Пользователи базы" для пользователей с логинами Windows "Базовые права".
- На вкладке "Пользователи базы" для пользователей с логинами Windows "Доп. запреты" для роли "Пользователь".
- На вкладке "Досье сотрудников" все досье пользователей, не входящих в состав домена(ов).
- На вкладке "Досье сотрудников" параметр "Профиль".


Как настроить автоматическую отправку отчетов начальникам/сотрудникам

После успешной синхронизации можно вручную настроить права начальникам на отправку отчетов (вкладка "Пользователи базы") если в этом есть необходимость.
Далее эти начальники хотя бы один раз должны зайти в свой "Личный кабинет" (через веб-интерфейс БОСС) и включить там авто-генерацию отчетов.
Чтобы сотрудники могли получать отчеты на свои e-mail о своих же действиях необходимо указание их e-mail в карточке AD, а также включение соотв. разрешения в правах их начальника (лучше это разрешение включить у начальника верхнего уровня иерархии подчинения, а не у множества нижестоящих начальников).
Опции генерации отчетов должны быть настроены в серверных настройках (разделы "Генератор отчетов").

© Стахановец